威胁识别与评估
威胁发生造成的后果或潜在影响
威胁一旦发生会造成信息保密性、完整性和可用 性等安全属性的损失，从而给组织造成不同程度 的影响，严重的威胁发生会导致诸如信息系统崩 溃、业务流程中断、财产损失等重大安全事故。 不同的威胁对同一资产或组织所产生的影响不同， 导致的价值损失也不同，但损失的程度应以资产 的相对价值（或重要程度）为限。
信息安全管理引入与内涵 信息安全规划 信息安全风险识别与评估 信息安全等级保护
4 信息安全管理标准 ISO 4 信息安全法规
信息安全规划

信息安全规划也称为信息安全计划，它用 于在较高的层次上确定一个组织涉及信息 安全的活动，主要内容：
安全策略
安全需求
计划采用的安全措施 安全责任 规划执行时间表
信息安全风险识别与评估

威胁识别与评估
识别产生威胁的原因
1 人员威胁
2 系统威胁
3 环境威胁
4 自然威胁
洪水、地震 、台风、滑 坡、雷电等
信息安全风险识别与评估
威胁识别与评估
识别产生威胁的 原因 确认威胁的目标
威胁识别 与评估的 主要任务
评估威胁发生的可 能性
威胁发生造成的后 果或潜在影响
信息安全风险识别与评估
信息安全管理技术
主讲内容
1
2 3 4 5 6
信息安全管理引入与内涵 信息安全规划 信息安全风险识别与评估 信息安全等级保护
4 信息安全管理标准 ISO 4 信息安全法规
信息安全管理引入与内涵
信息安全在其发展过程中经历的三个阶段：


20世纪80、90年代以前，面对信息交换过程中存在的安 全问题，人们强调的主要是信息的保密性和完整性，该阶 段称为通信保密阶段； 20世纪80、90年代，随着计算机和网络广泛应用，人们 对信息安全的关注已经逐渐扩展为以保密性、完整性和可 用性为目标，并利用密码、认证、访问控制、审计与监控 等多种信息安全技术为信息和信息系统提供安全服务，该 阶段称为信息安全阶段；
信息安全管理引入与内涵
信息安全技术与信息安全管理
信息安全技术是实现信息安全产品的技术基础； 信息安全产品是实现信息安全的工具平台；
信息安全管理是通过维护信息的机密性、完整性 和可用性等，来管理和保护信息资产的一项体制， 是对信息安全保障进行指导、规范和管理的一系 列活动和过程。
主讲内容
1
2 3 4 5 6
信息安全风险识别与评估
信息安全风险评估： 也称信息安全风险分析，它是指对信息安全 威胁进行分析和预测，评估这些威胁对信息资产 造成的影响。 信息安全风险评估使信息系统的管理者可以在 考虑风险的情况下估算信息资产的价值，为管理 决策提供支持，也可为进一步实施系统安全防护 提供依据。
信息安全风险识别与评估
信息安全建设和管理的科学方法
分析确定风险的过程
信息安全 风险评估
信息安全建设的起点和基础 倡导一种适度安全
信息安全风险识别与评估
信息安全风险识别与评估
信息资产的价值
信息安全风 险识别与评 估应考虑的 因素：
信息资产的威胁及其发生的 可能性
信息资产的脆弱性
已有安全措施
准备和计划
准备阶段
资产评估
威胁评估
脆弱性评估
评估已有安全 控制措施
识别阶段
影 响 可能性
评价风险
安全措施建议
分析阶段
汇报及验收
验收阶段
信息产，组织应列出与信息 安全有关的资产清单，对每一项资产进行确认和适 当的评估。 为了防止资产被忽略或遗漏，在识别资产之前应 确定风险评估范围。所有在评估范围之内的资产都 应该被识别，因此要列出对组织或组织的特定部门 的业务过程有价值的任何事物，以便根据组织的业 务流程来识别信息资产。
信息安全风险识别与评估
资产的识别与估价
准备和计划
准备阶段
资产评估
威胁评估
脆弱性评估
评估已有安全 控制措施
识别阶段
影 响 可能性
评价风险
安全措施建议
分析阶段
汇报及验收
验收阶段
信息安全风险识别与评估

威胁识别与评估
识别产生威胁的原因
1 人员威胁
2 系统威胁
3 环境威胁
4 自然威胁
故意破坏（网络攻击、 恶意代码传播、邮件炸 弹、非授权访问等）和 无意失误（如误操作、 维护错误）
信息安全风险识别与评估
资产的识别与估价
在列出所有信息资产后，应对每项资产赋予价值。资产估 价是一个主观的过程，而且资产的价值应当由资产的所有者 和相关用户来确定，只有他们最清楚资产对组织业务的重要 性，从而能够准确地评估出资产的实际价值。 为确保资产估价的一致性和准确性，组织应建立一个资产 的价值尺度（资产评估标准），以明确如何对资产进行赋值。 在信息系统中，采用精确的财务方式来给资产确定价值比 较困难，一般采用定性分级的方式来建立资产的相对价值或 重要度，即按照事先确定的价值尺度将资产的价值划分为不 同等级，以相对价值作为确定重要资产及为这些资产投入多 大资源进行保护的依据。
信息安全管理引入与内涵
信息安全在其发展过程中经历的三个阶段

20世纪90年代中后期，由于互联网技术的飞速发展，信 息对内、对外都极大开放，由此产生的安全问题已经不仅 仅是传统的保密性、完整性和可用性三个方面，人们把信 息主体和管理引入信息安全，由此衍生出诸如可控性、抗 抵赖性、真实性等安全原则和目标，信息安全也从单一的 被动防护向全面而动态的防护、检测、响应和恢复等整体 建设方向发展。该阶段称为信息安全保障阶段。
信息安全风险识别与评估

威胁识别与评估
识别产生威胁的原因
1 人员威胁
2 系统威胁
3 环境威胁
4 自然威胁
系统、网络或服 务的故障（软件 故障、硬件故障 、介质老化等）
信息安全风险识别与评估

威胁识别与评估
识别产生威胁的原因
1 人员威胁
2 系统威胁
3 环境威胁
4 自然威胁
电源故障、污 染、液体泄漏 、火灾等
主讲内容
1
2 3 4 5 6
信息安全管理引入与内涵 信息安全规划 信息安全风险识别与评估 信息安全等级保护
4 信息安全管理标准 ISO 4 信息安全法规
信息安全风险识别与评估
信息安全风险来自人为或自然的威胁，是威胁利用 信息系统的脆弱性造成安全事件的可能性及这类 安全事件可能对信息资产等造成的负面影响。
准备和计划
准备阶段
资产评估
威胁评估
脆弱性评估